|
|
2.1.9 之前的 Argo CD 和 2.2.4 之前的 2.2.x 允许遍历与 Helm 图表相关的目录,因为 repository.go 中的 helmTemplate 有错误。例如,攻击者可能能够发现存储在 YAML 文件中的凭据。 CVSS 2.0:4.0 中等 CVSS 3.x:7.7 高 ▼ CVSS3 Vec CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N 攻击向量 (AV)网络邻近的当地的身体的 攻击复杂度 (AC)低的高的 所需权限 (PR)没有低的高的 用户交互 (UI)没有必需的 范围 (S)不变改变了 保密 (C)没有低的高的 诚信(一)没有低的高的 可用性 (A)没有低的高的 ▼ CVSS2 Vec AV:N/AC:L/Au:S/C:P/I:N/A:N 攻击向量 (AV)网络邻近的当地的 访问复杂性 (AC)低的中等的高的 认证 (Au)没有单身的多种的 保密 (C)没有帕里尔完全的 诚信(一)没有部分的完全的 可用性 (A)没有部分的完全的 NVD 参考 https://apiiro.com/blog/malicious-kubernetes-helm-charts-can-be-used-to-steal-sensitive-information-from-argo-cd-deployments/ 来源:MISC 标签:利用第三方咨询 https://github.com/argoproj/argo-cd/security/advisories/GHSA-63qx-x74g-jcr7 来源:CONFIRM 标签:利用第三方咨询 |